Un fallo de WhatsApp puede dejarte sin 'app' en solo 12 horas

Dos investigadores de ciberseguridad han explicado como cualquier persona puede bloquearte la cuenta de forma prácticamente definitiva en unas pocoas horas

Logo de WhatsApp. / SOPA Images - Getty

Dos investigadores han descubierto una nueva vulnerabilidad en la app de WhatsApp que puede suponer el bloqueo de la cuenta de cualquier usuario en solo 12 horas y solo conociendo en número de teléfono asociado a la misma.

Los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña se han puesto en contacto recientemente con el periodista especializado en seguridad y vigilancia la revista Forbes, Zack Doffman, para revelarle el hallazgo de esta vulnerabilidad y explicarle cómo los ciberdelincuentes pueden llevarla a cabo. Os trasladamos aquí sus explicaciones:

Fase 1: acabar con las oportunidades de verificar el número

El fallo detectado por Márquez y Canales se debe a dos procesos independientes de WhatsApp que, utilizados por un criminal y combinados, pueden acabar con el peor desenlace para el usuario, la pérdida de la cuenta.

La primera fase de este proceso que deja ver la vulnerabilidad de la app consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp en su terminal, aunque este ya esté utilizando la herramienta en su smartphone. Así, ante un intento de acceso malintencionado, el usuario real recibirá el código de verificación de seis dígitos mediante un SMS o a través de una llamada y además una notificación que le avise de la solicitud del código.

En este momento, el verdadero dueño de la cuenta no podrá hacer otra cosa que ignorar estos mensajes o ponerse en contacto con el soporte de la 'app', pues no los ha solicitado ni tiene opción alguna de introducirlos en su cuenta que sigue funcionando perfectamente mientras los ciberatacantes intentan acceder.

Una vez hechos los primeros intentos y con rapidez, los delincuentes podrán solicitar a WhatsApp la opción de que la plataforma les envíe un código nuevo en 12 horas y bloquear así la opción de introducción de códigos de seguridad en ese plazo de tiempo.

Fase 2: solicitar la desactivación de la cuenta

Por otro lado, como segunda fase del proceso, los hackers pueden enviar un correo electrónico al soporte de WhatsApp haciéndose pasar por el usuario y, con una excusa, solicitar la desactivación de la cuenta, un proceso que solo requiere la confirmación del número de teléfono asociado a la misma mediante un segundo correo y que parece ser automático por parte de la herramienta.

"No hay preguntas de seguimiento para confirmar que eres el propietario del número. Pero se ha activado un proceso de automatizado, sin su conocimiento, y ahora su cuenta se desactivará", explica el periodista.

Una vez solicitada la desactivación, el equipo de soporte de WhatsApp empieza el proceso para borrar la cuenta y entonces, aproximadamente una hora más tarde según la experiencia de los investigadores, la víctima recibe un mensaje en el que se la informa de que su número de teléfono ya no está asociado a ningún perfil.

"Su número de teléfono ya no está registrado con WhatsApp en este terminal. Si no lo hizo, verifique su número de teléfono para volver a iniciar sesión en su cuenta", reza el mensaje que recibirá la persona atacada.

En ese momento, tenga o no activada la autenticación de dos factores, el usuario solo puede intentar restablecer su cuenta introduciendo el número de teléfono y el código facilitado por WhatsApp. Sin embargo, debido a que los hackers han agotado los intentos, la víctima no recibirá ningún mensaje y aunque en ese momento recuerde que unas horas antes ha recibido varios mensajes con códigos, al introducirlos estos también darán error.

Es entonces cuando los atacantes abordarán la fase final. En el tercio final del ciclo de 12 horas, los hackers podrán repetir la operación y mandar otro correo electrónico a WhatsApp que derivará en un fallo de la app. "Lo has intentado demasiadas veces, inténtelo de nuevo después de 1 segundo", rezará el mensaje que recibirá la víctima, y entonces, ya será demasiado tarde y la única manera de recuperar la cuenta será ponerse en contacto con WhatsApp para que, de manera manual, le reactiven su cuenta.

 "La combinación de la arquitectura de verificación, los límites de SMS con códigos y las acciones automatizadas basadas en palabras clave por los correos electrónicos entrantes está abierta al abuso", concluye el periodista de Forbes después de hablar con los investigadores.

Carolina Martínez

Carolina Martínez

Periodista y SEO editorial en LOS40. Propongo estrategias y escribo sobre todo lo que mande la actualidad....

Escucha la radio en directo

Cadena SER
Directo

Tu contenido empezará después de la publicidad

  • Hoy en LOS40

  • Podcasts

  • Programación

  • Playlists

  • Emisoras

  • Lista oficial de LOS40

    Lista oficial de LOS40

    Lista semanal oficial de LOS40

  • Lo último en POP internacional

    Lo último en POP internacional

    Novedades pop para sonreir

  • CAMILO recomienda

    CAMILO recomienda

    Las favoritas de la estrella latina nº1

  • Esenciales 90s Classic

    Esenciales 90s Classic

    Todos los éxitos de los años 90

  • Lista LOS40 hace 25 años

    Lo último en POP internacional

    Rebobinamos hasta los Principales de 1996

  • AMY MACDONALD recomienda

    AMY MACDONALD recomienda

    Nos cautivó en 2007 y estas son su favoritas

  • El Ritmo de la Calle. LOS40 Urban

    El Ritmo de la Calle. LOS40 Urban

    Lo que más suena en la radio

  • Lo último en URBAN

    Novedades urbanas y `'`hot`'`

    Lo último en URBAN

  • Tik Tok... Toma!

    Tik Tok... Toma!

    Lo más viral y bailado del momento

  • Lo último en DANCE

    Lo último en DANCE

    Lo más reciente de EDM

  • PURPLE DISCO MACHINE recomienda

    PURPLE DISCO MACHINE recomienda

    El DJ alemán revisa sus 40 año a año

  • ADN LOS40 Dance

    ADN LOS40 Dance

    El sonido y la esencia de LOS40 Dance

  • Lista oficial de LOS40

    Lista oficial de LOS40

    Lista oficial de LOS40 actualizada cada sábado

  • Èxits actuals del pop català

    Èxits actuals del pop català

    El millor de la música en català actual

  • STAY HOMAS recomienda

    STAY HOMAS recomienda

    Las favoritas del grupo revelación del confinamiento

Compartir

Tu contenido empezará después de la publicidad